Le minacce informatiche non provengono più da individui isolati, ma sono il prodotto di una serie di entità sofisticate e ben organizzate con agende e capacità diverse.
Tipi di attori di minaccia
Attori sponsorizzati dallo Stato
Al vertice della gerarchia degli attori delle minacce si trovano i gruppi sponsorizzati dagli Stati. Questi attori sono tipicamente sostenuti dai governi nazionali e sono dotati di risorse sostanziali e capacità tecnologiche avanzate. Il loro motivo principale è spesso geopolitico, in quanto cercano di ottenere vantaggi strategici su altre nazioni. Ciò può includere l'interruzione di infrastrutture critiche, lo spionaggio e l'influenza su politiche estere o nazionali. La sofisticazione degli attori sponsorizzati dagli Stati li rende particolarmente pericolosi, in grado di eseguire operazioni informatiche complesse e di grande impatto.
Tra gli esempi di attori sponsorizzati dallo Stato vi sono:
- APT29(Cozy Bear): Presumibilmente legato ai servizi segreti russi, APT29 è stato coinvolto in numerose attività di spionaggio informatico di alto profilo. In particolare, è stato coinvolto nella fuga di email del Comitato nazionale democratico degli Stati Uniti del 2016, con l'obiettivo di influenzare le elezioni presidenziali statunitensi.
- Unità 61398 dell'Esercito Popolare di Liberazione (Cina): Si ritiene che questo gruppo faccia parte dell'esercito cinese e che sia stato accusato di condurre spionaggio informatico contro un'ampia gamma di obiettivi, principalmente negli Stati Uniti. Sono noti per le loro tattiche sofisticate e le strategie di infiltrazione a lungo termine, incentrate sul furto di proprietà intellettuale e sullo spionaggio industriale.
Gruppi di criminali informatici organizzati
I gruppi di criminali informatici organizzati rappresentano un'altra formidabile categoria di attori di minacce. A differenza degli attori sponsorizzati dallo Stato, la loro motivazione principale è il guadagno finanziario. Questi gruppi sono ben strutturati e spesso operano come aziende, utilizzando strumenti e tecniche avanzate per eseguire furti informatici su larga scala, frodi e attacchi ransomware. La professionalità e l'intraprendenza di questi gruppi li rendono una minaccia persistente sia per le aziende che per i privati.
Esempi di gruppi criminali informatici organizzati sono:
- Gruppo Lazarus: Associato alla Corea del Nord, questo gruppo è noto per le sue attività criminali informatiche finalizzate al guadagno finanziario. È stato coinvolto nell'hacking della Sony Pictures del 2014 e nella rapina alla Bangladesh Bank del 2016, che ha comportato un tentativo di furto di oltre 850 milioni di dollari.
- FIN7: gruppo di criminali informatici altamente sofisticato e organizzato, noto per aver preso di mira i settori della vendita al dettaglio, della ristorazione e dell'ospitalità, principalmente negli Stati Uniti. Hanno rubato con successo milioni di numeri di carte di credito, principalmente attraverso sofisticate campagne phishing e la diffusione di malware .
Hacktivisti
L'hacktivismo è una miscela unica di hacking e attivismo, in cui il motivo principale è promuovere un cambiamento politico o sociale. Gli hacktivisti usano le loro capacità per lanciare attacchi informatici contro organizzazioni o governi che percepiscono come non etici o ingiusti. Le loro attività possono spaziare dalla deturpazione di siti web al lancio di attacchi DDoS (Distributed Denial of Service), tutti finalizzati ad attirare l'attenzione sulla loro causa o a interrompere le operazioni dei loro obiettivi.
Tra gli esempi di hacktivisti vi sono:
- Anonymous: forse il gruppo di hacktivisti più noto, Anonymous è un collettivo decentralizzato noto per aver lanciato attacchi informatici contro siti web governativi, religiosi e aziendali. Sono stati coinvolti in diverse azioni, dall'abbattimento dei siti web della Chiesa di Scientology al lancio di operazioni contro l'ISIS.
- LulzSec: Spin-off di Anonymous, LulzSec era noto per i suoi attacchi di alto profilo, spesso condotti per "the lulz" (ridere) piuttosto che per motivi politici. Hanno attaccato diverse organizzazioni importanti, tra cui la CIA e Sony Pictures, e si sono fatti una reputazione per il loro approccio sfacciato e per le prese in giro pubbliche delle loro vittime.
Insider Threat
Le minacce insider provengono da persone che, all'interno di un'organizzazione, abusano del loro accesso per danneggiare l'organizzazione stessa. Può trattarsi di dipendenti, appaltatori o partner commerciali. Le minacce insider possono essere intenzionali (ad esempio, dipendenti scontenti in cerca di vendetta) o accidentali (ad esempio, dipendenti che compromettono inconsapevolmente la sicurezza per negligenza). La profonda conoscenza da parte dell'insider dei sistemi e dei processi dell'organizzazione rende questo tipo di minaccia particolarmente difficile da difendere.
Esempi di minacce interne includono:
- ChelseaManning: Analista dell'esercito americano che ha divulgato un gran numero di documenti riservati a WikiLeaks. Questo incidente ha messo in evidenza il potenziale di massicce violazioni di dati derivanti da persone interne che hanno accesso a informazioni sensibili.
- Edward Snowden: Un ex appaltatore della NSA che nel 2013 ha divulgato informazioni classificate della National Security Agency (NSA). Le sue rivelazioni sulle pratiche di sorveglianza dell'NSA hanno acceso i riflettori a livello mondiale sui rischi associati alle minacce interne, in particolare nelle organizzazioni di intelligence.
Motivi alla base degli attacchi informatici
Gli attori delle minacce hanno diverse motivazioni che guidano le loro attività. Alcune motivazioni comuni includono:
Spionaggio (aziendale e governativo)
Lo spionaggio informatico è un problema critico sia per le aziende che per i governi. Gli attori impegnati nello spionaggio cercano di rubare informazioni sensibili, dai dati governativi classificati ai segreti commerciali nel mondo aziendale. Il motivo è quello di ottenere un vantaggio competitivo o strategico, sia nell'arena geopolitica che nel settore aziendale.
Guadagno finanziario
Il motivo più immediato nel mondo dei criminali informatici è il guadagno finanziario. Questo include il furto diretto di fondi, le violazioni di dati che portano alla vendita di informazioni riservate e gli attacchi ransomware in cui gli aggressori chiedono un pagamento in cambio del ripristino dell'accesso a dati o sistemi critici.
Interruzione e distruzione
Alcuni attacchi informatici mirano a causare interruzioni o distruzione. Ciò è particolarmente comune tra gli attori sponsorizzati dallo Stato e gli hacktivisti. Questi attacchi possono avere come obiettivo infrastrutture nazionali critiche, interrompere i servizi o, in alcuni casi, causare danni fisici. Il movente può essere l'indebolimento di un rivale geopolitico o la protesta contro determinate politiche o azioni.
Reputazione e influenza
Un'area di preoccupazione crescente è rappresentata dagli attacchi informatici volti a manipolare l'opinione pubblica o a danneggiare la reputazione di un'organizzazione. Ciò può includere la diffusione di disinformazione, la manipolazione degli algoritmi dei social media o l'attacco all'integrità di entità giornalistiche o politiche. L'obiettivo è quello di influenzare la percezione dell'opinione pubblica o di turbare l'armonia della società.
Come rilevare gli attori delle minacce con Vectra AI?
Vectra AI fornisce preziose funzionalità per individuare gli attori delle minacce all'interno della rete di un'organizzazione. Ecco come Vectra AI aiuta a rilevare gli attori delle minacce:
- Analisi comportamentale: Vectra AI utilizza analisi comportamentali avanzate e algoritmi di apprendimento automatico per stabilire una linea di base del comportamento normale di utenti, dispositivi e applicazioni all'interno della rete. Quindi monitora continuamente le attività anomale che potrebbero indicare la presenza di un attore pericoloso. Le deviazioni dal comportamento normale, come i tentativi di accesso non autorizzato, i movimenti laterali o l'esfiltrazione dei dati, possono attivare avvisi per ulteriori indagini.
- Monitoraggio in tempo reale: Vectra AI monitora attivamente il traffico di rete, gli endpoint e gli ambienti cloud in tempo reale. Analizzando i pacchetti di rete, i registri e i metadati, identifica modelli, indicatori di compromissione e attività sospette associate agli attori delle minacce. Questo monitoraggio continuo consente di rilevare tempestivamente le attività dannose e di ridurre il tempo di permanenza degli attori delle minacce all'interno della rete.
- Integrazione delle informazioni sulle minacce: Vectra AI si integra con feed esterni di intelligence sulle minacce per arricchire le sue capacità di rilevamento. Correlando le attività di rete con gli indicatori noti di compromissione e i comportamenti degli attori delle minacce, Vectra AI può identificare tattiche, tecniche e procedure (TTP) specifiche associate agli attori delle minacce. Questa integrazione migliora l'accuratezza del rilevamento e consente l'identificazione proattiva di potenziali minacce.
- Rilevamento e risposta automatizzati: Vectra AI automatizza il rilevamento delle minacce e fornisce avvisi in tempo reale ai team di sicurezza. Questi avvisi includono informazioni contestuali sulle attività rilevate, consentendo indagini rapide e mirate. Inoltre, Vectra AI può integrarsi con le piattaforme di orchestrazione, automazione e risposta alla sicurezza (SOAR) per automatizzare le azioni di risposta, come l'isolamento dei dispositivi compromessi o il blocco delle comunicazioni dannose.
- Capacità di caccia alle minacce: Vectra AI consente ai team di sicurezza di condurre attività di threat hunting proattive. Fornisce un'interfaccia di facile utilizzo con visualizzazioni interattive e funzionalità di ricerca, consentendo agli analisti di esplorare le attività di rete, creare query personalizzate e indagare sui comportamenti dei potenziali attori delle minacce. Questa funzionalità consente agli analisti di andare a caccia di minacce nascoste, di identificare le minacce persistenti avanzate (APT) e di raccogliere ulteriori informazioni sugli attori delle minacce.
- Supporto alla risposta agli incidenti: In caso di presenza confermata di un attore pericoloso, Vectra AI fornisce un valido supporto alle attività di risposta agli incidenti. Offre analisi forensi dettagliate e retrospettive, consentendo ai team di sicurezza di tracciare le azioni degli attori delle minacce, comprendere l'entità della compromissione e valutare l'impatto sull'organizzazione. Queste informazioni contribuiscono al contenimento, alla bonifica e all'analisi post-incidente.